Le applicazioni medicali che fanno uso di componenti elettronici tendono a un'integrazione sempre più elevata. Questa prospettiva rende necessario individuare il giusto equilibrio tra complessità, costi di sviluppo e usabilità. È inoltre evidente una tendenza crescente verso dispositivi medicali, ad esempio monitor della pressione sanguigna, che possano essere utilizzati in ambienti domestici, direttamente dai pazienti. I dispositivi in questione devono essere piccoli, portatili e maneggevoli. Spesso le apparecchiature sanitarie sono vincolate a requisiti più severi rispetto a quelle progettate per altri tipi di applicazioni. Dopotutto, la salute di molte persone, quando non la loro stessa vita, dipende dalla sicurezza funzionale e dall'affidabilità di questi dispositivi, ogni singolo giorno. Lo standard per la sicurezza funzionale EN 60601-1 è stato appunto introdotto per uniformare i requisiti di sicurezza funzionale di dispositivi e sistemi elettronici destinati ad applicazioni mediche. In sostanza, lo standard definisce i requisiti di sicurezza generali e le principali caratteristiche prestazionali che devono essere soddisfatte dai dispositivi elettronici progettati per l'impiego in campo medico. In Europa, il 1° giugno 2012 è stata adottata la terza edizione di questo standard. I dispositivi medici elettronici introdotti sul mercato dopo tale data, pertanto, devono essere conformi alla nuova versione. Le modifiche di maggior rilievo riguardano l'integrazione di un processo di gestione dei rischi e l'aggiunta di requisiti di sicurezza funzionale al concetto di sicurezza in sé. Alla luce di quanto appena esposto, è fortemente consigliabile che gli sviluppatori di sistemi elettronici per applicazioni medicali prendano in considerazione i requisiti di sicurezza funzionali sin dall'inizio, durante le prime fasi ideative dei loro sistemi. In particolare, è opportuno selezionare i componenti con particolare attenzione perché siano idonei per le applicazioni critiche rispetto alla sicurezza. Alcuni fornitori già offrono componenti elettronici sviluppati in modo da soddisfare i requisiti di sicurezza funzionale. Tra tali componenti è compresa la piattaforma di microcontroller Hercules per la sicurezza, realizzata da Texas Instruments.
Una piattaforma per la sicurezza
La piattaforma in questione è basata su una famiglia di dispositivi Arm Cortex che, essendo stata sviluppata in accordo agli standard di sicurezza Iec 61508, consente di evitare errori sistematici. Gli errori casuali sono rilevati in modo rapido e affidabile dalle funzioni di diagnostica incorporate a livello di hardware, una caratteristica grazie alla quale i dispositivi Hercules risultano particolarmente indicati per diverse applicazioni medicali e industriali con requisiti di sicurezza critici. La famiglia di lockstep Hercules RM4x Cortex-R4F si presta ad essere impiegata per applicazioni medicali quali microinfusori insulinici e ventilatori polmonari. Attualmente la famiglia include dispositivi che arrivano fino a 220 MHz e rappresenta la scelta ottimale per un ampio spettro di applicazioni dove la sicurezza è fondamentale. Diversamente da altri microcontrollori, nei quali i criteri di sicurezza sono implementati a livello software, i microcontroller Hercules si caratterizzano per la diagnostica di sicurezza basata sull'hardware, che permette non solo di ottenere tassi di rilevamento degli errori molto più soddisfacenti, ma anche di risparmiare sul software. I dispositivi Hercules RM4x comprendono due Cpu Arm Cortex-R4F funzionanti in modalità lockstep, con conseguenti funzionalità di diagnostica sul chip di alto livello. Nell'architettura lockstep, il codice di programma viene eseguito in modo ridondante da entrambe le Cpu e non comporta spese ulteriori né per il software né per la memoria. Le cosiddette cause comuni di errore vengono individuate dalla speciale implementazione hardware dell'architettura lockstep. Il confronto hardware dei segnali delle Cpu consente di rispondere in maniera pressoché istantanea a qualsiasi errore di esecuzione del programma. Tale architettura, inoltre, offre l'importante vantaggio di una riduzione sia dei costi sia della complessità, senza contare che lo sviluppo del software deve essere eseguito per una singola Cpu. L'applicazione risulterà potenziata dalla capacità di elaborazione che verrebbe altrimenti consumata dal software di sicurezza.
Funzioni aggiuntive
Indipendentemente dall'architettura lockstep, la piattaforma Hercules offre numerose funzionalità aggiuntive per la sicurezza, tra cui codici di correzione errore in grado di proteggere bus e memorie flash e Ram. La logica Ecc è direttamente incorporata nelle Cpu, così da evitare qualsiasi degradazione delle prestazioni dovuta a stati di attesa supplementari. Le funzioni di test automatico hardware relative alla logica delle Cpu (LBIST) forniscono il supporto necessario per individuare i guasti che potrebbero verificarsi a carico delle Cpu durante il runtime, senza complessi algoritmi software. Al contrario degli approcci software, la strategia LBIST consente di beneficiare di una copertura diagnostica significativamente migliorata e di tempi di esecuzione notevolmente abbreviati. Tutte le Ram possono essere verificate tramite un test hardware della memoria (PBIST). È inoltre disponibile un'unità di protezione della memoria che separa il software importante per la sicurezza dal codice dell'applicazione che non risulta critico in tal senso. Per tenere sotto controllo i valori della tensione e i segnali di clock interni, sono state incluse ulteriori funzionalità di diagnostica. In aggiunta, le funzionalità di diagnostica fornite dai microcontroller Hercules sono collegate a un modulo di segnalazione degli errori centralizzato, in grado di inviare una notifica all'applicazione in tutti i casi di grave guasto interno. La piattaforma di microcontroller Hercules per la sicurezza è stata sviluppata in modo da poter essere utilizzata in sistemi imperniati sulla sicurezza che richiedono l'implementazione di SIL3 in conformità con Iec 61508 ed è stata valutata in un “safety case”. Texas Instruments mette a disposizione un manuale di sicurezza e informazioni Fmeda per assistere i clienti sia con lo sviluppo sia con la certificazione. La documentazione relativa alla sicurezza viene fornita insieme ai microcontroller Hercules e include tutte le informazioni necessarie per certificare i sistemi in conformità con lo standard e i suoi derivati specifici per ogni settore.
Alimentazione e monitoraggio della sicurezza
Texas Instruments ha inoltre sviluppato TPS6538x, una linea di dispositivi che fornisce funzionalità di alimentazione e monitoraggio della sicurezza per la piattaforma Hercules. Oltre a garantire i valori di tensione richiesti da microcontrollori, ricetrasmettitori e sensori, i dispositivi TPS6538x supportano anche diverse funzioni utili per la diagnostica (tra cui il monitoraggio della tensione, del tempo e della temperatura) e di test automatico. Riducendo in misura significativa il numero dei componenti e la complessità dell'hardware, le funzionalità di sicurezza integrate offerte da tali dispositivi abbreviano i tempi di sviluppo e abbassano i costi di sistema. I dispositivi in questione sono stati progettati in modo da fornire il supporto ottimale non solo alla piattaforma Hercules per la sicurezza, ma anche ad altri microcontroller. È possibile utilizzare un dispositivo TPS6538x e un microcontroller Hercules come chipset di sicurezza capace di ripristinare il sistema su uno stato sicuro in caso di errore. Il chipset, pertanto, può fungere da base per l'implementazione di applicazioni con criticità nella sicurezza.
